思科IPS的检测是基于signatures来完成的,而思科的signatures分为三种: 内置的signatures、经过修改的signatures、用户自定义的signatures。
ü内置的signatures:内置的signatures是思科预定制嵌入到IPS的签名,是没有经过调整的,目前大约有1000多种,内置的signatures不能被重名命或者删除。如果你不要使用某个内置的signature,你可以对它进行disable(禁用)或者retire(退去)。disable(禁用)的签名还是在引擎中,只是不做检测,而retire(退去)指示签名已经不在引擎中,将其某个签名从引擎中去除。内置signature的范围是1-50000。一个大类型的signature还可能存在子signature(Sub-signature)。
ü经过修改的signatures:在IPS已经存在的signatures基础上用户作了调整。
ü用户自定义的signatures:用户自行定义的signatures。
关于signatures的特性:
ü响应行为:指示检测到一个攻击或者入侵行为时采取的措施,比如:报警或者丢弃。
ü报警汇总:将同类的报警进行汇总,否则会产生很多的报警。检测到同类型数据流量的每个包都报警,这显然是不科学的行为,而且效能很低。
ü阀值配置:这是降低误警率的一种有效手段,比如:很多扫描软件会使用ICMP来确定网络上的主机在线与否,但是网络管理员也可能使用ping来检测网络连通性,如果一发现ICMP包就报告是非法的扫描行为,那么这将产生误警,此时,就可以配置阀值,比如连继发现20个ICMP包再进行扫描报警,在20个包以下就不报警。
ü逃避技术特性:可以开启或关闭入侵逃避技术的特性。
ü忠诚度:定义signatures时,可以为它定义一个忠诚度,忠诚度的范围是0-100,比如你定义了一个忠诚度为60%,那么该signature的报警60%是可靠的,40%不可靠(可能是误警)
ü应用层防火墙:传统的防火墙主要是针对协议或者协议中的命令进行过滤,思科的IPS它具备应用层防火墙的功能,它可以对攻击、恶意代码、脚本进行过滤,还可以渗透到应用层协议的封装中比如对Http的内容进行过滤,所以也叫IPS上的应用层防火墙为深度检测防火墙,同时IPS上的防火墙是传统防火墙策略失效或者误配置后的第二倒防线。默认是处于关闭状态。
üSNMP支持:思科的IPS从5.0版本开始支持SNMP管理。
üIPv6支持:并不是直接分析IPv6的包,而是分析IPv6中封装的IPv4数据包。
理解思科IPS系统的signature检测入侵行为后的动作
当思科的入侵检测系统根据signature判断出安全违规行为时,可以直接丢弃恶意数据包、报警并把报警里面的数据包捕获、捕获后续数据包、初始化blocking(登陆到别的设备上进行阻止)、产生SNMP的报警、发送TCP的reset信号,终止TCP连接。
关于理解捕获后续数据包:
在一些情况下,一个攻击或者安全违规行为可能被隐藏到多个数据包中,当IPS分析到这一系列包中的第一个包时,可能它并不能确定这是一种攻击或者安全违规行为,那么IPS此时并不急于裁定这是违规的数据包或者合法的数据包,而是将后续的包进行捕获,然后在使用协议分析器进行解码来判断是否属于攻击或者安全违规行为,决定后再执行相关的动作行为。
理解思科IPS系统signature的引擎
signature的引擎是思科IPS重要组成部分,基于signature的不同目的,可以将signature的引擎分为很多类,如下图5.4所示,你可以基于不同的类型的引擎来找到具体的signature,比如:要查找ICMP的请求与应答的签名,就可以通过Atomic IP(单一IP)类引擎来确定。每个signature被分配到一个特定的引擎,目标是为了监控特定的流量。每一个signatures默认的行为是告警,当然可以配置其它行为。告警被存储在传感器的本地event中,外部的监控程序可以通过SDEE集中收集告警信息。多个主机可以向同一个传感器收集告警。传感器的告警分为informational(信息)、Low(低) 、medium(中)、High(高)四个等级,告警的级别和触发signature的严重级别一样,它们相关联。
如何更好的去理解每个signature的意义:
可以移动到你需要理解的signature上,右击它,然后选择NSDB Link通地思科的安全诠释库来在线查询它,如下图5.6所示:
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1286812,如需转载请自行联系原作者
